Blocage pc virus gendarmerie
PSYKO
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour, voici ma mésaventure de la veille pour l'instant sans avancement notable de ma part.
en effet depuis hier soir suite à un téléchargement gratuit d'un soft banal une page m'est apparu bloquant tout acces à mon pc.
Suite à 5min de panique en voyant le logo de la gendarmerie et les coupures d'urgence qui s'impose (mea culpa pour les conservateur) j'ai repris mes esprits et entrepris une recherche sur comment ca marche.
j'y est trouvé une partie de mes réponse, à savoir le virus GENDARMERIE type ranson ware.
suite à ma recherche et aux nombreuses explications j'ai quand même reussis à acceder à mon ordinateur via l'invit de commande sans echec (explorer.exe) j'ai de suite téléchargé et lancé des scan par rogue killer et malwarebytes.
1) roguekiller ne detecte rien
2) malware detecte 2 intrus supprimés
mais, bah oui il y a toujours un mais !
le lancement de la machine se fait correctement mais je retombe encore et toujours sur la seule et même page de nos amis de la gendarmerie fake.
je mets a disposition le rapport de malware si quelqu'un à une idée de la marche à suivre à l'heure actuelle je suis toutes ouïe.
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.01.13.04
Windows 7 x86 NTFS (Mode sans échec)
Internet Explorer 9.0.8112.16421
Psyko :: PSYKO-TOWER [administrateur]
Protection: Désactivé
10/03/2012 10:30:15
mbam-log-2012-03-10 (10-30-15).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 163446
Temps écoulé: 4 minute(s), 12 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Users\Psyko\Downloads\LOIC.exe (PUP.HackTool.LOIC) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Psyko\AppData\Local\Temp\wpbt0.dll (Exploit.Drop) -> Mis en quarantaine et supprimé avec succès.
(fin)
en effet depuis hier soir suite à un téléchargement gratuit d'un soft banal une page m'est apparu bloquant tout acces à mon pc.
Suite à 5min de panique en voyant le logo de la gendarmerie et les coupures d'urgence qui s'impose (mea culpa pour les conservateur) j'ai repris mes esprits et entrepris une recherche sur comment ca marche.
j'y est trouvé une partie de mes réponse, à savoir le virus GENDARMERIE type ranson ware.
suite à ma recherche et aux nombreuses explications j'ai quand même reussis à acceder à mon ordinateur via l'invit de commande sans echec (explorer.exe) j'ai de suite téléchargé et lancé des scan par rogue killer et malwarebytes.
1) roguekiller ne detecte rien
2) malware detecte 2 intrus supprimés
mais, bah oui il y a toujours un mais !
le lancement de la machine se fait correctement mais je retombe encore et toujours sur la seule et même page de nos amis de la gendarmerie fake.
je mets a disposition le rapport de malware si quelqu'un à une idée de la marche à suivre à l'heure actuelle je suis toutes ouïe.
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.01.13.04
Windows 7 x86 NTFS (Mode sans échec)
Internet Explorer 9.0.8112.16421
Psyko :: PSYKO-TOWER [administrateur]
Protection: Désactivé
10/03/2012 10:30:15
mbam-log-2012-03-10 (10-30-15).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 163446
Temps écoulé: 4 minute(s), 12 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\Users\Psyko\Downloads\LOIC.exe (PUP.HackTool.LOIC) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Psyko\AppData\Local\Temp\wpbt0.dll (Exploit.Drop) -> Mis en quarantaine et supprimé avec succès.
(fin)
A voir également:
- Blocage pc virus gendarmerie
- Reinitialiser pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
- Double ecran pc - Guide
9 réponses
salut
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
je viens d'envoyer le rapprt pre sca. c'est celui que tu voulais?
j'en ai plusieurs, c'est le plus long celui-la
crdt
j'en ai plusieurs, c'est le plus long celui-la
crdt
je ne sais pas si le lien est necessaire etant donné que ton petit soft a tres tres bien fonctionné!
quoi qu il en soit je te remercie vivement pour ton aide précieuse!
merci à toi et bonne journée j'essairais dans la journée de te passer le lien.
cordialement.
quoi qu il en soit je te remercie vivement pour ton aide précieuse!
merci à toi et bonne journée j'essairais dans la journée de te passer le lien.
cordialement.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
faut que t'installes le service pack 1
faut desinstaller adobe reader 9 et installer le 10 (sans l'extra proposé discretement)
faut desinstaller Facemoods ca te pourrit les navigateurs
faut desinstaller babylon/babylon toolbar ca te pourrit les navigateurs
faut desinstaller DealPly ca te pourrit les navigateurs
=============
relance pre_scan et choisis script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"facemoods"=-
"QuickTime Task"=-
"iTunesHelper"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}]
[-HKCU\Software\BabylonToolbar]
[-HKCU\Software\DealPly]
[-HKCU\Software\facemoods.com]
[-HKLM\Software\Babylon]
[-HKLM\Software\BabylonToolbar]
[-HKLM\Software\DealPly]
[-HKLM\Software\facemoods.com]
txt::
C:\Windows\System32\Tasks\{A3E123D4-330F-485F-A44F-7002DD3CA84E}
command::
ren "%Windir%\explorer.exe" "%Windir%\Explorer.ex_"
del /f /q "%Windir%\expl?rer.exe
ren "%Windir%\explorer.ex_" "%Windir%\Explorer.exe"
for %%a in (
"expl?rer.exe"
) do if exist "%Windir%\%%~a" (
echo %Windir%\%%~a >> %Homedrive%\Pre_script.txt" )
folder::
C:\Program Files\DealPly
C:\Users\Psyko\AppData\Roaming\Mozilla\Firefox\Profiles\dbcgjxd4.default\extensions\ffxtlbr@babylon.com
C:\Users\Psyko\AppData\Roaming\Mozilla\Firefox\Profiles\dbcgjxd4.default\extensions\ffxtlbr@Facemoods.com
C:\Users\Psyko\AppData\Roaming\Mozilla\Firefox\Profiles\dbcgjxd4.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly
C:\Users\Psyko\AppData\Roaming\Babylon
C:\ProgramData\Babylon
C:\Users\Psyko\AppData\Local\Babylon
C:\Program Files\BabylonToolbar
C:\Program Files\DealPly
C:\Program Files\facemoods.com
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
=====================
▶ Télécharge Sur cette page : AdwCleaner (de Xplode)
▶ clique sur Télécharger et enregistre le fichier sur ton Bureau
▶ Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
==================================
▶▶▶ Sous Vista et Windows 7 /!\ :
il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
==================================
Sur le menu principal :
▶ clique sur Suppression et patiente le temps de l'analyse
▶ poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
faut desinstaller adobe reader 9 et installer le 10 (sans l'extra proposé discretement)
faut desinstaller Facemoods ca te pourrit les navigateurs
faut desinstaller babylon/babylon toolbar ca te pourrit les navigateurs
faut desinstaller DealPly ca te pourrit les navigateurs
=============
relance pre_scan et choisis script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"facemoods"=-
"QuickTime Task"=-
"iTunesHelper"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}]
[-HKCU\Software\BabylonToolbar]
[-HKCU\Software\DealPly]
[-HKCU\Software\facemoods.com]
[-HKLM\Software\Babylon]
[-HKLM\Software\BabylonToolbar]
[-HKLM\Software\DealPly]
[-HKLM\Software\facemoods.com]
txt::
C:\Windows\System32\Tasks\{A3E123D4-330F-485F-A44F-7002DD3CA84E}
command::
ren "%Windir%\explorer.exe" "%Windir%\Explorer.ex_"
del /f /q "%Windir%\expl?rer.exe
ren "%Windir%\explorer.ex_" "%Windir%\Explorer.exe"
for %%a in (
"expl?rer.exe"
) do if exist "%Windir%\%%~a" (
echo %Windir%\%%~a >> %Homedrive%\Pre_script.txt" )
folder::
C:\Program Files\DealPly
C:\Users\Psyko\AppData\Roaming\Mozilla\Firefox\Profiles\dbcgjxd4.default\extensions\ffxtlbr@babylon.com
C:\Users\Psyko\AppData\Roaming\Mozilla\Firefox\Profiles\dbcgjxd4.default\extensions\ffxtlbr@Facemoods.com
C:\Users\Psyko\AppData\Roaming\Mozilla\Firefox\Profiles\dbcgjxd4.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly
C:\Users\Psyko\AppData\Roaming\Babylon
C:\ProgramData\Babylon
C:\Users\Psyko\AppData\Local\Babylon
C:\Program Files\BabylonToolbar
C:\Program Files\DealPly
C:\Program Files\facemoods.com
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
=====================
▶ Télécharge Sur cette page : AdwCleaner (de Xplode)
▶ clique sur Télécharger et enregistre le fichier sur ton Bureau
▶ Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
==================================
▶▶▶ Sous Vista et Windows 7 /!\ :
il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
==================================
Sur le menu principal :
▶ clique sur Suppression et patiente le temps de l'analyse
▶ poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Bonjour, j'ai eu le même probleme aujourd'hui.
J'ai redemarrer l'ordi en mode sans echec (avec accès a la console ou je sais plus quoi) mais je l'ai éteint pendant qu'il chargait les fichiers au demarrage...du coup gros plantage.
Quand je redemarre il m'envois un message disant echec du demarrage. Je clic donc sur resoudre le probleme et il retélécharge les fichiers (pendant environs 30min). je redemarre donc (encore) en mode normal et là plus de virus j'ai accès a tous mes dossiers, ^internet etc....
Ce qui m'amenne a vous poser cette question: Le virus est-il definitivement supprimer ou dois-je encore m'en inquieter et faire la procedure ci dessus? Si ce n'est pas le cas j'ai un pc de malade qui regle tout tout seul xD.
J'espere avoir été assez clair, merci de vos reponses!
J'ai redemarrer l'ordi en mode sans echec (avec accès a la console ou je sais plus quoi) mais je l'ai éteint pendant qu'il chargait les fichiers au demarrage...du coup gros plantage.
Quand je redemarre il m'envois un message disant echec du demarrage. Je clic donc sur resoudre le probleme et il retélécharge les fichiers (pendant environs 30min). je redemarre donc (encore) en mode normal et là plus de virus j'ai accès a tous mes dossiers, ^internet etc....
Ce qui m'amenne a vous poser cette question: Le virus est-il definitivement supprimer ou dois-je encore m'en inquieter et faire la procedure ci dessus? Si ce n'est pas le cas j'ai un pc de malade qui regle tout tout seul xD.
J'espere avoir été assez clair, merci de vos reponses!
